Praxisrelevante Entscheidung zu Anonymisierung und Pseudonymisierung im Gesundheitswesen
Auch nach einer mehrstufigen Pseudonymisierung und Löschung der korrespondierenden Klardaten kann es sich weiter um personenbezogene Daten handeln, die nach Art. 15 Abs. 1 der Datenschutz-Grundverordnung (DSGVO) zu beauskunften sind. So entschied das Verwaltungsgericht (VG) Hamburg mit Urteil vom 28.07.2022 (Az. 21 K 1802/21). Die Entscheidung ist von hoher Praxisrelevanz. Sie betrifft vor allem Forschungseinrichtungen und Unternehmen, die Gesundheitsdaten verarbeiten, sich aber darauf verlassen, dass ein Personenbezug nur unter unverhältnismäßigem Aufwand herzustellen sei. Besonders lesenswert sind die Ausführungen des VG zur Abgrenzung von Anonymisierung und Pseudonymisierung im Gesundheitsbereich und zur Reichweite der Betroffenenrechte.
Worüber hat das Gericht entschieden?
Die nachmalige Klägerin war im Jahr 2019 an Brustkrebs erkrankt und hatte sich in medizinische Behandlung begeben. Im Rahmen dieser Behandlung wurden diverse Daten der Klägerin verarbeitet, die zum Teil Personenbezug aufwiesen: der Name und die Anschrift der Klägerin, die vergebenen Diagnosen oder die durchgeführten Operationen zum Beispiel. Diese Daten wurden von den behandelnden Ärzt:innen an das Hamburgische Krebsregister (HKR) übermittelt. In diesem epidemiologischen und klinischen Register werden Krebserkrankungen und die damit verbundenen Daten erfasst, um die Prävention und die onkologische Versorgung zu verbessern. Die Übermittlung dieser Daten ist an sich nichts Ungewöhnliches. Gemäß § 2 Abs. 1 des Hamburgischen Krebsregistergesetzes (HmbKrebsRG) sind Ärzt:innen sogar dazu verpflichtet, das Entstehen, das Auftreten, die Behandlung und den Verlauf bösartiger Neubildungen einschließlich ihrer Frühstadien sowie von gutartigen Tumoren an das HKR zu übermitteln.
Für die Verarbeitung personenbezogener Gesundheitsdaten hat das HKR bestimmte technische und organisatorische Sicherheitsvorkehrungen getroffen. Daten, die einen unmittelbaren Rückschluss auf die erkrankte Person erlauben (personenidentifizierende Klartextdaten) und die als Gesundheitsdaten im Sinne von Art. 9 Abs. 2 DSGVO besonders schützenswert sind, erhalten zunächst einen pseudonymen Kontrollnummernsatz und werden dann noch einmal verschlüsselt. So können neue Daten mit schon vorhandenen abgeglichen und dem bisherigen Kontrollnummernsatz hinzugefügt werden, ohne auf Klartextdaten zurückzugreifen – ausreichend ist der Abgleich mit den verschlüsselten Kontrollnummern. Um den Zugriff auf Klartextdaten weiter zu beschränken, ist das HKR außerdem in einen Registerbereich und einen Vertrauensbereich unterteilt. Nur die Mitarbeitenden des Vertrauensbereichs haben Zugriff auf die personenidentifizierbaren Klartextdaten. Mitarbeitende im Registerbereich können dagegen nur den verschlüsselten Kontrollnummernsatz einsehen.
Anfang 2020 wurde die Klägerin von der Universität zu Lübeck angeschrieben und gefragt, ob sie bereit sei, an einer Studie zur Versorgung von Krebspatienten teilzunehmen. Daher wollte sie wissen, welche personenbezogenen Daten das HKR von ihr verarbeitet und an die Universität zu Lübeck weitergegeben hatte. Sie machte zunächst außergerichtlich einen Auskunftsanspruch nach Art. 15 Abs. 1 DSGVO geltend. Außerdem widersprach sie der Weiterverarbeitung und Weitergabe ihrer Daten nach § 12 Abs. 3 S. 1 HmbKrebsRG. Daraufhin beauskunftete das HKR die personenbezogenen Klartextdaten der Klägerin und löschte sie anschließend aus dem Vertrauensbereich. Die Klägerin war damit allerdings nicht zufrieden. Sie begehrte weiterhin Auskunft über die nun allein vorliegenden Kontrollnummernsätze und ihre Löschung aus dem Registerbereich. Das HKR verweigerte Auskunft und Löschung mit dem Argument, dass eine Zuordnung dieser Kontrollnummernsätze zur Klägerin nach Löschung der Klartextdaten nicht mehr möglich sei. Eine Entschlüsselung sei technisch unmöglich, eine Reidentifizierung durch § 12 Abs. 2 S. 3 HmbKrebsRG gesetzlich verboten. Daher handele es sich nunmehr um anonymisierte Daten, auf deren Verarbeitung die DSGVO überhaupt keine Anwendung mehr fände.
Wogegen richtete sich die Klage?
Die Klage der Betroffenen richtete sich vor allem gegen die verweigerte Auskunft und die unterbliebene Löschung ihrer personenbezogenen Daten aus dem HKR. Die betroffene Klägerin sah in der Weigerung nicht nur einen Verstoß gegen zahlreiche datenschutzrechtliche Vorschriften, sondern auch einen Eingriff in ihr Allgemeines Persönlichkeitsrecht aus Art. 2 Abs. 1 i.V.m. Art. 1 Abs. 1 Grundgesetz (GG). Vor allem aber machte sie geltend, dass es sich bei den Kontrollnummernsätzen nicht um anonymisierte, sondern lediglich um pseudonymisierte Daten handele, weil es dem HKR jederzeit möglich sei, die betroffene Person auch ohne die gelöschten Klartextdaten zu identifizieren.
Das könnte Sie auch interessieren:
- KI im Gesundheitswesen: mit Datenschutz zum Ziel?
- Die elektronische Patientenakte (ePA): Datenschutzrechtliche Aspekte und nächste Entwicklungsstufen
- Die Telematikinfrastruktur – der Grundstein für die Digitalisierung im Gesundheitswesen
Wie hat das Gericht entschieden?
Das VG Hamburg gab der Klägerin weitgehend Recht. Es sah in den vermeintlich anonymisierten ebenfalls pseudonymisierte Daten. Denn das gesetzliche Verbot in § 12 Abs. 3 S. 3 HmbKrebsRG, pseudonymisierte Daten nach einem Widerspruch der betroffenen Person zu reidentifizieren, könne nur bedeuten, dass dies auch nach Löschung der Klartextdaten rechtlich und tatsächlich möglich sei. Eine Reidentifizierung sei rechtlich möglich, weil § 12 Abs. 3 S. 3 HmbKrebsRG kein objektives Verbot, sondern ein disponibles Recht enthalte. Die tatsächliche Möglichkeit der Reidentifizierung ergebe sich daraus, dass sich der Personenbezog der Kontrollnummernsätze ohne größeren Aufwand wieder herstellen lasse: über die Such- und Filterfunktion in der vom Register verwendeten Software und Heranziehung bestimmter Verknüpfungsmerkmale wie der Krebsentität, dem Geburtsdatum, dem Geschlecht oder der Postleitzahl; aber auch durch eine Kooperation mit der Betroffenen, die ihre Kontrollnummer dem Datenbankadministrator zur Verfügung stelle. Allerdings gab die Kammer der Klage auch nicht vollumfänglich statt. Sie wies die geltend gemachten Ansprüche der Klägerin teilweise zurück. Insbesondere sei der Auskunftsanspruch aus Art. 15 Abs. 1 DSGVO nicht in die Vergangenheit gerichtet, sondern erstrecke sich allein auf die derzeit im HKR verarbeiteten Daten. Dies folge aus dem klaren Wortlaut („verarbeitet werden“) und dem Telos der Norm. Sinn und Zweck des Art. 15 Abs. 1 DSGVO sei es nämlich gerade, eine Informationsgrundlage für einen etwaigen Löschungsanspruch zu schaffen. Die Klägerin könne daher keine Auskunft über diejenigen Daten verlangen, die zum Zeitpunkt ihres ersten Auskunftsersuchens durch die Beklagte verarbeitet worden seien.
Welche Folgen hat die Entscheidung für die Praxis?
Die Entscheidung dürfte Folgen sowohl für betroffene Personen haben, die einen Auskunftsanspruch nach Art. 15 Abs. 1 DSGVO geltend machen wollen, als auch für Verantwortliche, die einem solchen Anspruch möglicherweise entsprechen müssen: einerseits können sich Verantwortliche nur unter sehr engen Voraussetzungen darauf zurückziehen, dass sie pseudonymisierte Datensätze nur mit unverhältnismäßigem Aufwand wieder identifizieren können. Andererseits müssen sie nunmehr nur diejenigen Verarbeitungstätigkeiten beauskunften, die zum betreffenden Zeitpunkt auch tatsächlich stattfinden. Besonders relevant ist die Entscheidung für Stellen, die Gesundheitsdaten verarbeiten und sich darauf verlassen, dass ein Personenbezug nur unter unverhältnismäßigem Aufwand herzustellen sei. Handelt es sich beispielsweise um eine seltene Erkrankung und liegen außerdem demographische Angaben oder Verknüpfungsmerkmale wie die Postleitzahl vor, kann es sich nach dem VG Hamburg bereits um ein pseudonymes Datum handeln, dass entsprechend zu beauskunften und gegebenenfalls zu löschen ist.
Sie haben Fragen zu Anonymisierung und Pseudonymisierung im Gesundheitswesen?